Guía para la creación y modificación de recursos de AWS Control Tower

Recomendamos las siguientes prácticas al crear y modificar recursos en AWS Control Tower. Estas directrices podrían cambiar cuando se actualiza el servicio. Recuerde que el modelo de responsabilidad compartida se aplica a su entorno de AWS Control Tower.

Directrices generales

No modifique ni elimine ningún recurso creado por AWS Control Tower, incluidos los recursos de la cuenta de administración, las cuentas compartidas y las cuentas de los miembros. Si modifica estos recursos, es posible que tenga que actualizar la zona de aterrizaje o volver a registrar una OU, y la modificación puede dar lugar a informes de conformidad imprecisos.

En particular:
- Mantenga una AWS Config grabadora activa. Si elimina la grabadora Config, los controles de detección no podrán detectar ni informar de la desviación. Los recursos no conformes pueden declararse conformes debido a que no se proporcionó suficiente información.
- No modifique ni elimine las funciones AWS Identity and Access Management (de IAM) creadas en las cuentas compartidas de la unidad organizativa (OU) de seguridad. Si lo hace, es posible que tenga que actualizar estos roles en su zona de destino.
- No elimine el rol AWSControlTowerExecution de las cuentas de sus miembros, ni siquiera en las cuentas no inscritas. Si lo hace, no podrá inscribir estas cuentas en AWS Control Tower ni registrar su matriz inmediata OUs.
No prohíba el uso de ninguna de ellas Regiones de AWS mediante una SCPs o AWS Security Token Service (AWS STS). Si lo hace, AWS Control Tower pasará a un estado indefinido. Si no permite las regiones con AWS STS, su funcionalidad fallará en esas regiones, ya que la autenticación no estará disponible en esas regiones. En su lugar, utilice la capacidad de denegación regional de la Torre de Control de AWS, tal como se muestra en el control, denegar el acceso a en AWS función de lo solicitado Región de AWS, que funciona a nivel de la zona de landing, o denegar el control de la región de control aplicada a la OU, que funciona a nivel de la OU para restringir el acceso a las regiones.
El AWS Organizations FullAWSAccess SCP debe aplicarse y no debe fusionarse con otro SCPs. El cambio en esta SCP no se considera una desviación; sin embargo, algunos cambios pueden afectar a la funcionalidad de AWS Control Tower de manera impredecible si se deniega el acceso a determinados recursos. Por ejemplo, si el SCP se separa o se modifica, una cuenta puede perder el acceso a una AWS Config grabadora o crear un vacío en CloudTrail el registro.
No utilice la AWS Organizations DisableAWSServiceAccess API para desactivar el acceso al servicio de la Torre de Control de AWS a la organización en la que configuró su landing zone. Si lo hace, es posible que algunas características de detección de desviaciones de AWS Control Tower no funcionen correctamente sin el soporte de mensajería de AWS Organizations. Estas características de detección de desviaciones ayudan a garantizar que AWS Control Tower pueda informar con precisión del estado de conformidad de las unidades organizativas, las cuentas y los controles de su organización. Para obtener más información, consulte API_DisableAWSServiceAccess en la referencia AWS Organizations de la API.
En general, AWS Control Tower realiza una sola acción a la vez, que debe completarse antes de que pueda comenzar otra acción. Por ejemplo, si se intenta aprovisionar una cuenta mientras el proceso de habilitación de un control ya está en funcionamiento, se producirá un error en el aprovisionamiento de la cuenta.

Excepción:
- AWS Control Tower permite realizar acciones simultáneas para implementar controles opcionales. Para obtener más información, consulte Implementación simultánea para controles opcionales.
- AWS Control Tower permite crear, actualizar o inscribir hasta diez acciones simultáneas en cuentas con el generador de cuentas.

nota

Para obtener más información acerca de los recursos creados por AWS Control Tower, consulte ¿Qué son las cuentas compartidas?.

Consejos sobre cuentas y OUs

Le recomendamos que mantenga un máximo de 1000 cuentas por OU registrada, de modo que pueda actualizarlas con la funcionalidad Volver a registrar una unidad organizativa (OU) siempre que sea necesario actualizar la cuenta, por ejemplo, al configurar nuevas regiones para su gobernanza.
Para reducir el tiempo necesario al registrar una OU, le recomendamos que mantenga el número de cuentas por OU en torno a 680, aunque el límite sea de 1000 cuentas por OU. Como regla general, el tiempo necesario para registrar una OU aumenta en función del número de regiones en las que opera la OU, multiplicado por el número de cuentas de la OU.
Se calcula que una OU con 680 cuentas puede tardar hasta 2 horas en registrarse y habilitar los controles, y hasta 1 hora en volver a registrarse. Además, una OU con muchos controles tarda más en registrarse que una OU con pocos controles.
Una de las preocupaciones que suscita prolongar el plazo de registro de una OU es que este proceso bloquee otras acciones. Algunos clientes prefieren disponer de más tiempo para registrar o volver a registrar una OU, ya que prefieren tener más cuentas en cada OU.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Recomendaciones para la configuración de grupos, roles y políticas

Cuándo iniciar sesión como usuario raíz